AI时代第一场闪电袭击

文｜《中国企业家》记者 赵东山

编辑｜何伊凡见习编辑｜李原

头图摄影｜肖丽

12月23日，快手App以一种不同寻常的方式，突然冲上苹果App Store第二名。

“我正准备看关注的主播带货，突然刷到几个不堪入目的直播间，当时还有家人在，退出来后整个直播广场就全是这类内容了。”12月22日晚，快手用户张强拥有了一次别样的观看体验。

当晚，快手直播板块短时间内涌入大量低俗、暴力等违规内容，其中既有直播间播放的录像视频，也有部分真人大尺度直播。多家媒体报道，安全漏洞持续了超过1.5小时，部分违规直播间的单场观看量甚至逼近10万人次，严重破坏了平台生态。甚至有网友调侃，快手直接变成“快播”。

直到12月23日0点后，有网友才发现App内的“直播”板块已无任何内容显示。为了紧急遏止违规内容传播，快手不得不临时全盘下架直播功能。受此影响，快手港股23日股价下跌3.52%，市值蒸发101.52亿港元。

行业普遍认为，日活用户4.16亿的快手此次遭遇的，可能是近年来最大的基础设施级别的安全事故。

12月22日晚，《中国企业家》就此事询问快手，快手方面回复称：“12月22日22时左右，平台遭到黑灰产攻击，目前正紧急处理修复中，平台坚决抵制违规内容，相应情况已上报给相关部门，并向公安机关报警。”

12月23日快手进一步公开回应称：“本公司始终严守合规底线，坚决反对任何违规内容及行为。本公司强烈谴责黑灰产的违法犯罪行为，已就上述事宜向公安机关报警并向相关部门报告，并将视情况采取其他适当的法律补救措施，以保障本公司及其股东的权益。”

快手声明截图

不过，快手并未披露此次网络安全事件波及的直播间数量、封禁账号规模、用户商家权益影响等具体信息，也未公开事故具体原因、应对措施和方案以及改进动作。

毫无疑问，快手是此次黑灰产攻击的受害者，但从违规内容大规模出现，到平台采取关闭直播功能等彻底措施，响应时间迟滞，也暴露出快手面对AI时代的新型网络攻击，在实时监测、应急决策和熔断机制上存在短板。

截至发稿前，快手App在苹果App Store免费App排行榜上，已掉至第4名。

此次黑灰产攻击为何发生？

“群魔乱舞”是用户对12月22日当晚快手直播间的直观描述。但快手的应对速度，让这场事故持续了超过90分钟。

据多位安全行业专家分析，攻击快手平台的违规直播间呈现明显的“自动化”特征：大量新注册的账号在同一时段集体开播，播放预制的非法视频。即使平台后台不断封禁单一账号，仍难以有效遏制违规内容。

此次黑灰产攻击最核心的特殊性还在于，攻击模式的根本性转变。

奇安信网络安全专家汪列军告诉《中国企业家》：“黑灰产已全面进入‘自动化攻击’时代。攻击者并非针对单一漏洞，而是利用自动化工具，在短时间内批量注册、操控海量僵尸账号，实现了违规直播内容的秒级发布与扩散。”

最终，快手平台不得不采取紧急止损措施：“无差别关停”直播频道。

但这样的动作显然过于粗放。“安全运营中心负责人的更优解应该是精准打击和局部熔断，减少对其他用户的使用体验。但显然也是无奈之举了，且要做下架直播功能这样的重大决定，还要等待内部审核报告的流程。”一位互联网安全行业从业者向《中国企业家》分析道。

那么，此次网络黑灰产在入侵路径上，又是如何实现的呢？

360数字安全集团专家向《中国企业家》等媒体分析称，这极有可能是一场有组织、有预谋的外部黑客攻击。从技术路径来看，攻击者可能利用了直播推流接口的底层协议漏洞，绕过了平台的实名认证与内容审核链路，最终实现批量账号开播。

这种大规模、高频次的黑产渗透，也暴露出了快手在应对极端安全攻击时的风控防御体系存在明显漏洞，以及平台在面对极限压力时的应对局限。

有业内人士指出，此次事故发生在晚上10点左右的用网高峰期，而非凌晨三四点。快手安全团队在风险感知、审查团队值班安排、技术策略合理性、应急响应方面都可能存在问题。

上述互联网安全行业从业者告诉《中国企业家》，一个正规、成熟、完备的应对黑灰产攻击流程，应是一个贯穿全生命周期的系统工程，通常分为三层：

第一，实时监测系统的常态化监测，能够毫秒级分析用户行为、内容、交互模式，自动识别并拦截异常；对平台异常行为，快速识别与定性。

第二，启动分级应急响应与熔断，为直播推流、大规模交易等平台核心业务功能，设置自动化或半自动化的“熔断开关”。当系统检测到异常流量或攻击指标超过阈值时，能自动限流、功能降级或隔离受影响模块。

第三，人工干预，快速决策，根据具体情况采取强制措施。根据《国家网络安全事件报告管理办法》，对于“较大”以上事件，关键信息基础设施运营者报告时限不超过1小时，其他运营者向属地网信部门报告时限不超过4小时。若涉嫌犯罪，必须立即向公安机关报案。

那么，快手作为国内第二大的短视频平台，以往在安全防御体系搭建上是如何做的？

事实上，早在2025年8月举办的“AICon全球人工智能开发与应用大会”上，快手安全算法中心负责人刘梦怡还做过“从技术赋能到范式革新：快手安全大模型驱动内容审核智能化重塑”的主题分享。

刘梦怡从内容安全审核业务场景出发，介绍了快手安全算法团队自研安全多模态大模型的核心技术方案。

刘梦怡的一个核心观点是，在大模型时代，快手利用其强大的泛化识别能力和语义理解能力，可以直接作用于内容物料识别出关键元素，并根据语义自动归纳为层级的标签体系；这样仅需要少量的人工标注向规则做校正，同时也可以反向地去反哺规则本身，交互式的迭代，实现降本增效。

此外，快手在2025年4月发布的《2024年度环境、社会及管治报告》中明确宣称，在内容审查和拦截机制方面，快手采用机器审核与人工审核相结合的模式，提升审核效率与准确性。

然而，此次黑灰产对快手安全防御体系的击穿，证明快手以模型和规则为核心的防御体系，在应对AI时代新型的极限压力时，实时感知和瞬时熔断机制仍存在明显漏洞。

AI时代的网络安全如何构建？

随着12月23日上午快手直播平台功能基本恢复，这场持续90分钟的攻击事件表面上已告一段落。但快手和其他UGC平台，都需要重新评估内容安全防护能力；确保防御能力与用户规模、内容产量同步增长。特别是当平台处于快速增长期时，安全建设不能滞后于业务扩张。

从快手财报数据看，快手2025年的收入增长，尤其是电商和广告，都非常依赖平台生态的健康和用户的信任。安全投入虽然在财报中带来的业绩影响不直接可见，但它是支撑核心商业骨架的基础。

此外，这次黑产攻击中最令人震惊的还有攻击方技术的低成本与大模型结合后的破坏性。数美科技CTO梁堃在接受InfoQ专访时指出：“黑产技术的升级并非渐进式的改良，而是一次结构性的代际跨越。”

过去，黑产为获取高权重账号需付出高额“养号”成本。如今，大模型成为黑产最高效的生产力工具。更具威胁的是，今年黑产已全面转向Agent模式。Agent能够理解指令并直接调用API，其生成的点击、浏览、交互行为序列具备极高的拟人度，且执行成本几乎为零。

AI生成

360集团创始人周鸿祎此前在接受《中国企业家》采访时就表示，AI越强大，它自身的安全问题就越严重，智能体被攻击、滥用、误导，都可能会成为大问题。当前AI已经进入了千行百业，引发产业变革的同时，也带来了很多新的安全挑战。

比如大模型落地应用过程中暴露的安全隐患，包括容易成为黑客攻击目标的模型漏洞；大模型输入输出中的不良内容；智能体自身面临的安全风险；“智能体黑客”的持续出现等等。

这也给各大平台的安全防御带来了更大压力。“过去我们靠安全大数据和专家经验，现在攻击也在AI化、智能体化，并且速度、复杂度是指数级上升。”周鸿祎接受《中国企业家》采访时说。

“过去黑客‘一将难求’，但现在可以把黑客的经验和能力训练成智能体，能自动完成漏洞扫描、发起攻击、横向渗透等一系列任务。一个人类黑客能管理几十个甚至上百个黑客智能体，成为‘超级黑客’。这会让网络攻防从‘人与人’的对抗，变成‘人与机器’的对抗，甚至改变网络战的形态。”周鸿祎进一步解释称。

那么，在AI时代下，企业该如何构建自己的安全防火墙呢？

周鸿祎提到，企业要基于安全大模型、安全知识库、安全工作流和安全工具，通过打造安全智能体，复刻人类高级安全专家的能力，7×24小时不眠不休，快速发现和处置安全问题，同时能有效应对“智能体黑客”，适应机器对机器、模型对模型的对抗新局面，最终实现AI时代的“安全自动防御”。

快手遭遇的网络攻击不仅是一家公司的事件，更为整个互联网行业敲响了警钟。互联网平台的安全稳定性不仅关乎企业自身，更关系到数亿用户的使用体验与财务等权益。

有专家建议推动行业协同防御机制的建立；由多家平台共同建立黑灰产情报共享平台，形成行业联防、联控体系，共同应对跨平台的有组织攻击。

在技术快速迭代的今天，黑灰产的攻击手段也在不断升级，互联网平台的这场攻防战没有终点。唯一确定的是，任何企业都需要比网络黑产攻击者更快一步。